RGPD et HDS : quelles compatibilités ?

Les auteurs : Marie-Christelle Mellouet, Juriste Déléguée à la Santé et Mohamed Zahouani, Responsable Sécurité d’Orange Healthcare. 

Le nouveau règlement général sur la protection des données, le RGPD, qui doit permettre à l'Europe de s'adapter aux nouvelles réalités du numérique opère un changement de paradigme, en passant d’une logique de formalités préalables à une logique de conformité continue tout au long du cycle de vie de la donnée et reposant sur une responsabilisation accrue des acteurs. De son côté, la procédure de certification des hébergeurs de données de santé, qui n’est pas sans rappeler la démarche bien connue du monde industriel (avec notamment la certification ISO 27001), se substitue à la procédure existante d’obtention d’un agrément.

Une complémentarité au service de la sécurité numérique dans le domaine de la santé

Les réglementations HDS et RGPD apparaissent complémentaires sur bien des points. Le RGPD définit des obligations générales comme la nomination d’un data protection officer (DPO), la déclaration des incidents de sécurité ou encore la réalisation d’analyse d’impact sur la vie privée. Quant à la réglementation HDS, elle précise et renforce les mesures de sécurité à mettre en œuvre et les rend applicables avant toute opération d’hébergement.

Les mesures issues du RGPD se trouvent ainsi consolidées sur au moins deux aspects :

• l’instauration d’une obligation a priori pour les hébergeurs de données de santé à caractère personnel d’obtenir une certification à cet effet avant tout hébergement des dites données,
• le renforcement des exigences de sécurité applicables aux hébergeurs de données de santé à caractère personnel.

Du fait du recoupement de ces deux règlementations, la mise en œuvre d’une certification HDS pourra ainsi servir d’outil de conformité à la réglementation RGPD.

Des champs d’application légèrement différents 

Bien que complémentaires, les réglementations RGPD et HDS présentent des écarts en matière de champ d’application. Le RGPD est applicable à l’ensemble des traitements de données à caractère personnel réalisés sur le territoire de l’Union Européenne ou bien de données relatives à des personnes concernées qui se trouvent sur ce territoire. Le champ d’application de la réglementation relative à l’hébergement de données de santé défini à l’article L1111-8 du code de la santé publique est quant à lui plus restrictif. Il ne concerne que les données de santé à caractère personnel « recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil des dites données ou pour le compte du patient lui-même ». L’obligation de recourir à un hébergeur agréé ne s’impose qu’en cas d’externalisation. Quant au contour des données de santé visées, il demeure flou. S’agit-il uniquement des données collectées et/ou produites dans un contexte et avec une finalité médicale ou médico-sociale, ce qui de fait exclut de son champ d’application les traitements réalisés notamment par les mutuelles ou les compagnies d’assurances ? Le futur décret relatif aux modalités de certification des hébergeurs de données de santé devrait permettre de clarifier ce périmètre.

La certification HDS : un outil de conformité au RGPD

Pour des responsables de traitement qui ne seraient pas soumis à l’obligation d’hébergement de données de santé à caractère personnel dans un environnement certifié, la certification HDS pourrait être utilisée comme un outil de conformité au RGPD. Cette certification garantit en effet la mise en place d’un SMSI, ou système de management de la sécurité de l’information, et met en application des exigences de sécurité renforcées issues de normes internationalement reconnues.

Qu’il fasse le choix de se faire certifier, ou qu’il s’appuie sur un sous-traitant hébergeur certifié, et en mettant en œuvre les exigences complémentaires sur le périmètre restant sous sa responsabilité, un responsable de traitement pourra constituer un ensemble cohérent et complémentaire lui facilitant ainsi la démonstration de sa conformité aux exigences du RGPD.

Venez rencontrer les experts de l’hébergement et du traitement de données de santé d’Orange Healthcare au Salon Big Data, les 12 et 13 mars 2018, stand A16.